你錢包裡有多少授權,你還記得嗎?
每次你和 DeFi 協議互動,第一步幾乎都是授權。你批准了一個智能合約,讓它有權代表你移動某個代幣。這個步驟感覺像是開門,一次性的動作,點擊同意或授權然後繼續往下一步走。問題是那扇門並不會自動關上。
代幣授權不會因為你完成交易就失效,不會因為你關掉瀏覽器就消失,不會因為你斷開錢包連接就終止。你去年授權給某個 DEX 的權限,今天還在。你試用過一次、再也沒有回去的那個協議,依然持有你給它的授權。除非你主動撤銷,否則那些授權會一直存在。
2024 年 3 月,一個叫 Dolomite 的 DeFi 協議被攻擊,損失超過 180 萬美元。攻擊者利用的不是什麼複雜的漏洞,而是一個 2019 年部署、早已停用的舊合約。那個合約停用了好幾年,但當年使用過它的用戶,授權從來沒有被撤銷。攻擊者找到了那個被遺忘的入口,走了進去。受害者什麼都沒做,只是在五年前點過一個授權按鈕,然後忘了。
授權的問題不只是被遺忘。很多協議預設要求的是無限授權。不是「允許這次交易移動 100 USDC」,而是「允許這個合約永久移動你所有的 USDC,無上限」。這樣設計對協議來說更方便,用戶只需要授權一次,之後每次交互都不需要重新批准。但這也意味著一旦那個合約出問題,攻擊者可以拿走的不是這次交易涉及的金額,而是你錢包裡所有這個代幣。
你和那些協議的關係不是靜態的。合約可以被升級,開發團隊可以離開,協議管理員密鑰可以被攻擊者取得。當其中任何一個意外發生,攻擊者不需要你的私鑰,他只要你過去曾經在這個地方給出過授權就已經足夠。你已經簽署授權的錢包,在不知情的情況下,也沒有簽署任何新交易的情況下被清空。
這是 Web3 裡少有人主動去想的一層風險。協議按照設計運作的時候,那些授權靜靜地待在那裡,沒有人注意到它。它只在出問題的時候才變得可見,但那時候通常已經太晚。
你知道目前有多少個智能合約持有你的授權嗎?或許是時候定期檢視一下自己錢包的授權情況了。
授權是可以被看見的,也是可以被撤銷的。你的錢包裡存在一份你可能從來沒有完整看過的清單,記錄著你曾經給出過的每一個授權。把這份清單攤開來看,是理解自己錢包授權風險的第一步。ZenRealm 的錢包授權檢查工具可以幫你做到這件事。輸入你的錢包地址,幾秒內就能看到你在主流 EVM 網路上目前還有效的所有授權。
延伸閱讀: